Vyskakující okno
Dobrý den,
každých pár minut mi na noťasu vyskakuje dialogové okno:
Windows Script Host
Soubor skriptu C:\Users\root\AppData\Local\Temp\arwg.vbs nebyl nalezen.
Kromě velmi zvláštně barevné ikonky je divná i prázdná složka Local která pro výmaz vyžaduje oprávnění správce.
Nevíte někdo o co se jedná a jak problém vyřešit?
Děkuji
davoule
Vypadá to jako pozůstatek po nějakém malware. Takže pořádně prověřit systém, něco tam ještě nejspíš bude.
Tak teď se složka Local zaplnila divnýma složkama (šílené názvy kombinace písmen a čísel) a některé jsou systémové.
A antivirus nic nehlásí ani po hloubkové kontrole ani když dám zkontrolovat jednotlivé složky
Antivirus ne,zkus AdwCleaner a MBAM.
JRT.exe,
RougeKiller x64 *exe - portable verzia
odpojit od sítě, začít deratizovat.
může to být vir i spyware. tvůj av nic nenašel, takže ten adwcleaner nebo rogue killer.
taky jde zkusit některé z av bootovacích cd: https://free.drweb.com/aid_admin/
tipuju že nákaza přichází přes chrome, je to automatický instalátor malware.
pokud používáš vnc, jrt ti ho zruší. (s tvým problémem to nesouvisí, jenom že ten krám páchá ještě další škodu)
Antivirus teda po několika kontrolách objevil:
C:\Users\root\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00122f » ISO » patch_3.877-8273.exe - varianta Generik.JIYWEAN trojský kůň - vymazán
C:\$Recycle.Bin\S-1-5-21-1375889886-1898031426-1462930244-1000\$RJMNC9I.iso » ISO » patch_3.877-8273.exe - varianta Generik.JIYWEAN trojský kůň - vymazán
C:\$Recycle.Bin\S-1-5-21-1375889886-1898031426-1462930244-1000\$RJMNC9I.iso » ISO » patch_3.877-8273.exe - varianta Generik.JIYWEAN trojský kůň - vymazán
Zmíněný AdwCleaner - jak jsem zmínil - z počítače odstranil 29 hrozeb, ale pořád se okno objevuje i po restartu a zamezení přístupu k internetu.
Aplikace Windows Script Host se sice dá v počítači najít, ale nelze jí odstranit (jako správce mám prý nedostatečná práva).
Už opravdu nevím.
Děláš tu kontrolu v nouzovém režimu?
Nene, ale kontrol jsem dělal už hodně a různými způsoby. Antivirus (ESET) na nic nepřichází.
Antivirus je proti virům.
Ty nemáš virus, ale nějakej spyware/adware, toho si antivirus nevšímá. Proto ty kontroly AdwCleanerem (29 hrozeb - jakých? AdwCleaner má svůj log) a také MBAM. A spouštět v nouzovém režimu Windows se musí proto, aby ten šmejd nebyl aktivní (některý se smazání ubrání, jsou-li spuštěný).
no to vyzerá tak zavšivené, že radši bych nestrácal čas ani odstraňovaním virov, ale rovno bych odjebal celý windows a nainštaloval systém od znova.
to se nikdy nic nenaučí a nepochopí, jak funguje prohlížeč a automaticky spouštěné doplňky.
Windows Script Host je zcela normální součást windows. je to přehrávač skriptu - nebo ve tvém případě nějakého malware, napsaného jako script.
asi by to šlo zakázat nebo odinstalovat (-> google), ale taky se můžeš podívat co se ti spouští po startu:
ms autoruns -> záložky: logon (po spuštění), scheduled tasks (naplánované úlohy).
taky to může být dosud neodhalený doplněk v mrzkém prohlížeči: nepíšeš, jestli to okno vyskakuje kdykoliv ve windows, nebo jen při běžícím chromákovi.
Vyskakuje to i když je počítač odpojený od internetu. Odinstalování se brání zuby nehty, tváří se jako něco, co nejde odinstalovat. Nejde ho omezit, dát do karantény, nic. Všemu se úspěšně brání.
chrome nepoužívám, je to nejméně bezpečný shit, čili umístění jeho souborů neznám.
škodlivý doplněk, který by neustále stahoval/generoval nové skripty a předhazoval je tomu wsh, může ležet ve tvém profilu chrome, v podadresáři extensions (záleží na typu instalace chrome). využívají funkci skrývání doplňků, kterou google zavedl pro ty své a po něm to začali zneužívat všichni malwaristi.
nejde jen o připojení k netu, ale o běžící prohlížeč - škodlivý doplněk má ty reklamy stažené i do zásoby.
rozumím tomu správně, že kontrola co se spouští pomocí ms autoruns neproběhla? no je to tvůj pc, dělej si co chceš.
pořád nevím co chceš odinstalovat - myslíš tu součást windows? tak si někde vygoogli "disable windows script host", taky možnost.
nebo si změň asociaci .vbs na notepad.
Tak teď se složka Local zaplnila divnýma složkama (šílené názvy kombinace písmen a čísel) a některé jsou systémové.
bootovací cd (linux / antivir / win pe / hirens ...), smazat půjdou levou zadní. možná i v tom nouzovém režimu, pokud používáš normálního správce souborů. s průzkumníkem ani neztrácej čas.
Mate v počítači asi nejakú škodnú. Vykonajte kontrolu v tomto rozsahu:
1. Najskôr sa presvedčte o tom, či zdroj problémov nie je nainštalovaný v počítači (Ovládací panel - Programy). Ak je v zozname zapísaný nejaký podozrivý (neznámy) program, odinštalujte ho.
2. Skontrolujte nainštalované rozšírenia v internetovom prehliadači - podozrivé (neznáme) rozšírenia odstráňte.
3. Najlepšie v núdzovom režime systému a s odpojeným pripojením k sieti vyčistite počítač použitím softvéru AdwCleaner
https://toolslib.net/downloads/viewdownload/1-adwcleaner
Všetko čo nájde odstráňte.
4. Najlepšie v núdzovom režime systému a s odpojeným pripojením k sieti vyčistite počítač použitím softvéru MBAM free verzia: https://www.malwarebytes.org/
Všetko čo nájde odstráňte.
Podle té hlášky bych soudil, že ti antivirák nebo antimalware zlikvidoval ten soubor arwg.vbs (nebo jsi prostě promazal TEMP), ale něco ho opakovaně zkouší spustit i když tam není. Kontroloval jsi Plánovač úloh? Zkus taky prohledat registry, jestli tam nenajdeš nějakou zmínku o arwg.vbs
Noo tak teď jsem zjistil, že už nejde ani odinstalovat Chrome :D tak já už fákt nevím
Preinštalujte celý systém,... máte to totálne rozbité...
Odinstalace Chromu stejně nepomůže, protože ponechává uživatelský profil na disku bez dotknutí - a tam se právě hromadí breberky. SPusť znovu ten AdwCleaner a MBAM, tentokrát ale v nouzovém režimu Windows. Pak uvidíš, přinejhorším čistá instalace systému to jistí...
Pomohlo až pomocí správce souboru najít arwg.vbs aplikaci, přidělit si k ní veškerá práva a natvrdo ji smazat. Jestli to byl malware a smazal jsem ho, nebo tam pořád je to nevím, nicméně okno se už nezobrazuje :D
ale že to trvalo.
byl to skript, které antiviry neumí kvůli modifikacím strojově rozeznávat. staral se o stahování součástí a skládání adware apod.
když se nějaký uživatel pojmenuje root, předpokládal bych že trochu tuší, jak funguje jeho systém.